xxe漏洞学习笔记

最新推荐文章于 2023-07-06 10:06:00 发布
最新推荐文章于 2023-07-06 10:06:00 发布
阅读量798 收藏
点赞数
文章标签: xxe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whoim_i/article/details/102874719
版权

目录

一、xxe漏洞简介

XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析 XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。 XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。
在这里插入图片描述

二、XML基础知识

要了xxe漏洞,那么一定得先弄明白基础知识,了解xml文档的基础组成 XML 指可扩展标记语言(Extensible Markup Language)
XML 被设计用来传输和存储数据。 HTML 被设计用来显示数据

XML的语法规则:
XML 文档必须有一个根元素
XML 元素都必须有一个关闭标签
XML 标签对大小敏感
XML 元素必须被正确的嵌套
XML 属性值必须加引导

<?xml version="1.0" encoding="UTF-8"?> <!--XML 声明-->
 <girl age="18">  <!--自定的根元素girl;age属性需要加引导-->
 <hair>长头发</hair>  <!--自定义的4个子元素,即girl对象的属性--> 
 <eye>大眼睛</eye> 
 <face>可爱的脸庞</face>
 <summary>可爱美丽的女孩</summary>
 </girl>  <!--根元素的闭合-->

实体引用
在 XML 中,一些字符拥有特殊的意义。
如果您把字符 “<” 放在 XML 元素中,会发生错误,这是因为解析器会把它当作新元素的开始。 这样会产生 XML 错误:

<message>if salary < 1000 then</message>

为了避免这个错误,请用实体引用来代替 “<” 字符:

<message>if salary &lt; 1000 then</message>

DTD (Document Type Definition)
DTD(文档类型定义)的作用是定义XML文档的合法构建模块
DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。

<!--XML声明--> 
<?xml version="1.0"?> 
<!--文档类型定义--> 
<!DOCTYPE note [    <!--定义此文档是 note 类型的文档-->
<!ELEMENT note (to,from,heading,body)>  <!--定义note元素有四个元素--> 
<!ELEMENT to (#PCDATA)>     <!--定义to元素为”#PCDATA”类型-->
<!ELEMENT from (#PCDATA)>   <!--定义from元素为”#PCDATA”类型--> 
<!ELEMENT head (#PCDATA)>   <!--定义head元素为”#PCDATA”类型--> 
<!ELEMENT body (#PCDATA)>   <!--定义body元素为”#PCDATA”类型-->
]> <!--文档元素-->
<note> <to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body> 
</note>

上述XML代码基本分为三个部分:
第一部分是XML的声明;
第二部分是XML的DTD文档类型定义
第三部分是XML语句
而外部实体攻击主要利用DTD的外部实体来进行注入的。
DTD有两种构建方式,分别为内部DTD声明和外部DTD声明
内部DTD声明:

<!DOCTYPE 根元素 [元素声明]>

实例:如上述代码
外部DTD声明:

<!DOCTYPE 根元素 SYSTEM "文件名">

实例:

<?xml version="1.0"?>
 <!DOCTYPE root-element SYSTEM "test.dtd"> 
 <note> 
 <to>Y</to>
 <from>K</from>
 <head>J</head>
 <body>ESHLkangi</body> 
 </note>

test.dtd

<!ELEMENT to (#PCDATA)><!--定义to元素为”#PCDATA”类型-->
<!ELEMENT from (#PCDATA)><!--定义from元素为”#PCDATA”类型-->
<!ELEMENT head (#PCDATA)><!--定义head元素为”#PCDATA”类型--> 
<!ELEMENT body (#PCDATA)><!--定义body元素为”#PCDATA”类型-->

PCDATA的意思是被解析的字符数据。PCDATA是会被解析器解析的文本。这些文本将被解析器检查实体 以及标记。文本中的标签会被当作标记来处理,而实体会被展开。
CDATA意思是字符数据,CDATA 是不会被解析器解析的文本,在这些文本中的标签不会被当作标记来对 待,其中的实体也不会被展开。

DTD实体同样有两种构建方式,分别为内部实体声明和外部实体声明。
内部实体声明:

<!ENTITY entity-name "entity-value">

实例:

<?xml version="1.0">
 <!DOCTYPE note [ 
 <!ELEMENT note(name)> 
 <!ENTITY hacker "ESHLkangi">
  ]>
<note>
<name>&hacker;</name>
</note>

外部实体声明:

<!ENTITY entity-name SYSTEM "URL/URL">

默认协议
在这里插入图片描述php扩展协议
在这里插入图片描述实例:

<?xml cersion="1.0"> 
<!DOCTYPE hack [ 
<!ENTITY xxe SYSTEM "file:///etc/password"> 
]>
<hack>&xxe;</hack>

上述代码中,XML的外部实体“xxe”被赋予的值为:file:///etc/passwd
当解析xml文档是,xxe会被替换为file:///ect/passwd的内容。

参数实体+外部实体:

<?xml version="1.0" encoiding="utf-8"> 
<!DOCTYPE hack [
    <!ENTITY % name SYSTEM "file:///etc/passwd">  
     %name;
  ]>

“%name”(参数实体)实在DTD中被引用,而"&name;"是在xml文档中被引用的。 XXE漏洞攻击主要是利用了DTD引用外部实体导致的漏洞。

whoim_i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
python 使用xlrd读取xlsx文件时报错:XLRDError: Excel xlsx file; not supported
fivemillion的博客
07-29 1万+
使用xlrd读取xlsx文件的报错与解决方法
Python打开Excel并读取,关闭Excel后提示(xlrd 有坑须注意)
m0_37390678的博客
08-10 2395
做为一名软件工程师,经常需要从各种各样的表中读取所需要的数据,最常用的数据来源就是Excel电子表格,有时修改读写Excel会出现莫名的错误。正常下载文件后能正常读取,读完数据后执行了关闭excel操作,但删除时提示“Python正在使用此文件”。从网页上下载不同时间段的excel文件并读取后并删除Excel文件,重复执行:下载->读取->删除。xlrd 库是有两个版本,一个仅支持.xls, 另一个仅支持 .xlsx。......
XXE&XML漏洞详解
剁椒鱼头没剁椒的博客
12-29 3995
这里我对XML也不是太懂,无法对其进行解释,同时也怕解释出现错误,使其误导,这里我发一下参考链接。XML教程文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于XML文档中(内部引用),也可作为一个外部引用。内部声明DTD: 引用外部DTD: DTD文档中有很多重要的关键字如下:DOCTYPE(DTD的声明)
XXE 学习
weixin_47306547的博客
10-13 1739
XXE 是什么 XXE(XML External Entity Injection),即 XML 外部实体注入。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。 ...
XXE-XML外部实体注入-知识点
weixin_44257023的博客
08-09 501
XXE-XML外部实体注入-知识点
5、XXE漏洞pdf资料
最新发布
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的恶意XML输入时。XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它的主要特点是允许...
105-web漏洞挖掘之XXE漏洞1
08-03
XXE漏洞详解】 XXE,全称为XML External Entity Injection,是XML解析器在处理XML输入时因未能正确配置,允许加载外部实体而导致的安全漏洞。这类漏洞允许攻击者注入恶意的XML外部实体,进而获取敏感信息、执行...
Shodan中文手册
03-28
本文主要对Complete Guide to Shodan(https://leanpub.com/shodan)的内容进行增、删、改,虽篇幅较长, 但内容涉及了Shodan的搜索语法、客户端命令行、API编程、工具插件、工控等,较为详细,适合当作Shodan 手册。代码和搜索示例均已由译者亲自测试并附截图。
XXE超详细讲解(都是纯纯的干货)
weixin_63688999的博客
07-06 963
XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础。XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。语法引用的外部实体,而非内部实体,那么uri中能写那些类型的外部实体呢?
XXE&XML 之漏洞利用 pikachu
weixin_54431413的博客
04-23 955
一、XXE和XML概念 (1)XML XML 指可扩展标记语言(EXtensible Markup Language)。 XML 是一种很像HTML的标记语言。 XML 的设计宗旨是传输数据,而不是显示数据。 (2)XXE XXE 漏洞全称 XML External Entity Injection,即 xml 外部实体注入漏洞 XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,没有进行严格的过滤,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等
网络安全课第五节 XXE 漏洞的检测与防御
fegus的博客
07-11 1500
上一讲我们介绍了 SSRF 漏洞,一种专门针对服务端的请求伪造攻击,常被用于攻击内网。在里面我介绍了 Burp Collaborator 用于专门测试无回显漏洞的功能,在本讲的 XXE 漏洞测试中,我们依然可以使用,不知道你是否还记得怎么使用?下面,我们就开始今天的课程,一场关于 XML 外部实体注入(XXE漏洞的攻防之路。XXE(XML External Entity,XML 外部实体注入)正是当允许引用外部实体时,通过构造恶意内容,导致读取任意文件、执行系统命令、内网探测与攻击等危害的一类漏洞。PHP
XXE漏洞
qq_43147309的博客
03-08 153
XML外部实体注入,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 代码漏洞分析: <?php $xmlfile = file_get_contents('php://input'); $dom = new DOMDocument(); $dom -> loadXML($xmlfile); $xml = simplexml_import_dom($dom); $xxe = $xml ->xxe; $str =
XXE知识总结,有这篇就够了!
南迪叶先森
07-14 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! XXE基础 XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。而学习XXE要从认识XML开始。 XML基础 XML 指可扩展标记语言(EXtensible Markup Lang.
XXE漏洞详解
weixin_56714714的博客
07-25 7775
XXE 什么是XXE? ​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击 XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码, 许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档 中添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关 只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击 什么是XML?
Shodan新手使用指南
热门推荐
浮生若梦的专栏
12-05 5万+
什么是 Shodan? 首先,Shodan 是一个搜索引擎,但它与 Google 这种搜索网址的搜索引擎不同,Shodan 是用来搜索网络空间中在线设备的,你可以通过 Shodan 搜索指定的设备,或者搜索特定类型的设备,其中 Shodan 上最受欢迎的搜索内容是:webcam,linksys,cisco,netgear,SCADA等等。 那么 Shodan 是怎么工作的呢?Shodan 通过
bfs练习题1
不管风雨有多少丶的博客
04-15 273
#include<cstdio> #include<queue> using namespace std; const int maxn=100; struct node{ int x,y; }Node;//Node是一个node型的变量 int n,m;//矩阵大小为m*n int matrix[maxn][maxn];//01矩阵 bool inq[maxn]...
geoserver xxe漏洞
09-02
Geoserver是一个开源的地理信息系统(GIS)软件,它用于发布和共享地理数据和服务。然而,Geoserver在某些情况下可能存在一个称为XXE(XML外部实体)漏洞XXE漏洞是一种安全漏洞,攻击者可以利用该漏洞来读取本地或远程服务器上的文件。这种漏洞通常是由于应用程序在处理XML输入时,对外部实体的处理不当而引起的。 具体到Geoserver的XXE漏洞,它可能会受到XML实体注入攻击。攻击者可以通过向Geoserver发送包含恶意XML实体引用的请求,来读取系统上的敏感文件或执行任意代码。 为了防止Geoserver XXE漏洞的利用,有几个关键的步骤可以采取: 1. 更新Geoserver:确保您使用的是最新版本的Geoserver。开源软件的维护者通常会修复已知的漏洞,并在新版本中发布修复程序。 2. 安全的配置文件处理:确保Geoserver的配置文件中没有不必要的文件,因为攻击者可能会利用这些文件访问敏感信息。 3. 过滤和验证用户输入:在输入和输出时,对用户提交的XML数据进行充分验证和过滤。这将有助于防止输入的恶意XML实体被执行。 4. 强化安全意识:向Geoserver用户和管理员提供适当的培训,以提高他们对安全问题的意识。这将有助于减少社会工程学攻击和恶意操作。 总之,Geoserver XXE漏洞是一种可以利用的安全漏洞,但通过更新软件、安全配置文件处理、过滤验证用户输入和提高安全意识,可以有效地减少这种漏洞的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值